內網安全管理系統研究

王慶一

摘要：內網安全管理系統主要對內網上的主機進行統一安全管理，文章通過對內網安全進行分析、處理和控制，提出了較為完善的內網安全解決方案。

關鍵詞：內網安全；監督；信息泄漏；失泄密

一、前言

隨著互聯網在全世界的興起，網絡的應用越來越廣，網絡安全也就成了一個非常重要的課題。內網安全也成為了人們研究的熱點。國家、政府、軍事以及銀行、金融、高新企業等行業需要一種能夠充分解決網絡外部攻擊和由內而外的信息泄漏的全方位信息安全解決方案。

內網安全管理系統主要對內網上的主機進行統一安全管理。統一安全管理是指對網絡主機用戶操作實施監督控制，并對主機中的安全軟件（如主機入侵監測系統、主機防火墻和主機身份認證系統等等）進行統一的管理，使其運行在一個比較合適和安全的狀態之下。其中，主機的用戶操作監督控制是指對用戶的操作行為進行監督（如文件拷貝、網絡訪問、更改網絡主機IP地址、添加管理員用戶名以及文件網絡共享等等用戶操作），同時對惡意用戶做出的違規行為（如撥號外聯等等）進行控制。

二、內網安全管理系統的基本目標

（一）面向桌面計算機系統的內部安全管理系統

管理桌面計算機系統的規模大，效率高，策略周全，能夠將企/事業單位的全部個人桌面系統納入管理范疇，解決了企業最難管理的、數量最多的、覆蓋范圍最大的桌面系統的安全問題。

（二）周全的內部系統信息泄漏保護體系

系統集成了針對計算機網絡、計算機外設、計算機外圍接口、數據存儲載體、打印機等可能造成失泄密途徑的保護技術和方法，結合企業內部現有的其他安全系統，如認證系統，可構成強大、完備的內部系統信息泄漏保護體系，不遺漏任何一個可能泄密的途徑。

（三）周密的系統資源安全管理

企業和單位內部個人計算機的硬件配置、軟件安裝等信息都在管理和審計之列，支持動態獲取、控制和管理。從技術上防止了未經批準就安裝和運行任何一款硬件設備和軟件系統的行為。

（四）集中配置和管理

企業和單位內部的全部個人計算機系統集中在系統的管理之下。支持統一而靈活的安全策略配置，支持統一或者靈活的系統配置管理，支持管理域內的安全事件、安全事故的統一配置管理。

（五）便于管理和穩固高效的內部安全體系

系統體系結構合理，客戶端-服務器-管理中心3層結構合理，真正實現了分布式防護、集中式/分級管理功能。桌面計算機系統的管理層次符合中國現行企事業單位的組織與管理體系。

（六）系統安全性高穩定性好

系統的安全性綜合取決于系統間通信的安全性，系統各個組件的安全性以及存儲的內部安全數據的自身安全。而系統基于PKI體系結構建立。因此無論是通信的安全性、還是數據的私密性、存儲的完整性和可靠性，都有充分的保證。系統的穩定性取決于系統間通信的穩定性以及系統各個組件的穩定性。系統內部通信多種方式相結合，保證了系統間通信的穩固性和有效性。

三、內網安全管理系統的功能分析

（一）防數據存儲載體失泄密

內部安全管理系統確保任何人都無法利用任何市面可見的數據存儲載體以不安全的方式帶出受保護的內部電子數據信息。內部安全管理系統可控制和管理以下數據存儲載體：防本地硬盤失泄密、防擴展本地硬盤失泄密、防移動硬盤失泄密、防軟盤失泄密、防可刻錄光盤失泄密、防閃存失泄密、防磁帶失泄密。內部安全管理系統對以上數據存儲載體均提供禁用、只讀、安全讀寫、正常讀寫等多種安全控制方法。

（二）防計算機外設失泄密

內部安全管理系統在確保任何人都無法利用任何市面可見的數據存儲載體以不安全的方式帶出受保護的內部電子數據信息之外，額外提供了多種多樣的、周全嚴密多層次的防計算機數據信息失泄密的補充手段。防計算機外設失泄密就是對防數據存儲載體失泄密功能之外的最重要的一種有效補充控制手段。內部安全管理系統可控制和管理以下計算機外設：從網卡（無線）防失泄密、從網卡（有線）防失泄密、從調制解調器防失泄密、從可刻錄光驅防失泄密、從軟驅防失泄密。內部安全管理系統對以上計算機外設均提供禁用和允許等兩種開關式安全控制方法。

（三）防計算機外圍接口失泄密

內部安全管理系統在確保任何人都無法利用任何市面可見的數據存儲載體以不安全的方式帶出受保護的內部電子數據信息之外，系統額外提供了多種多樣的、周全嚴密多層次的防計算機數據信息失泄密的補充手段。防計算機外圍接口失泄密與防計算機外設失泄密一起，構成了對防數據存儲載體失泄密的有效補充。內部安全管理系統可控制和管理以下計算機外圍接口：從USB（通用串行總線架構）接口防失泄密、從SERIAL（串行總線架構）接口防失泄密、從PARALLEL（并行總線架構）接口防失泄密、從IrDA（紅外架構）接口防失泄密、從BlueTooth（藍牙）接口防失泄密、從1394（火線架構）接口防失泄密、從PCMCIA（個人計算機存儲卡）接口防失泄密、從CF（Compact Flash）接口防失泄密。內部安全管理系統對以上計算機外圍接口均提供禁用和允許等兩種開關式安全控制方法。

（四）防網絡失泄密

內部安全管理系統在確保任何人都無法利用任何市面可見的數據存儲載體、通過計算機外設、通過計算機外圍接口以不安全的方式帶出受保護的內部電子數據信息之外，系統還針對使用十分廣泛的計算機網絡進行了嚴密的防范和控制，確保任何人都無法利用網絡所提供的便利條件以不安全的方式帶出受保護的內部電子數據信息。內部安全管理系統提供以下防網絡失泄密手段和方法：網絡層——IP地址安全控制，提供默認訪問控制和黑白名單等安全控制方法、IP流量統計、傳輸層——TCP端口安全控制，提供默認訪問控制和黑白名單等安全控制方法、UDP端口安全控制，提供默認訪問控制和黑白名單等安全控制方法、網絡層和傳輸層組合控制——IP/PORT組合安全控制，提供黑名單控制方法、應用層——HTTP安全控制，提供HTTP端口重定義、默認訪問控制、URL黑白名單、HTTP日志、HTTP重放等安全控制方法、HTTP流量統計、FTP安全控制，提供FTP端口重定義、默認訪問控制、FTPL黑白名單、FTP日志、FTP重放等安全控制方法、FTP流量統計、應用層——SMTP安全控制，提供SMTP端口重定義、默認訪問控制、郵件地址黑白名單（支持SMTP以及WEB MAIL）、SMTP日志、SMTP重放等安全控制方法、SMTP流量統計、TELNET安全控制，提供TELNET端口重定義、默認訪問控制、TELNET黑白名單、TELNET日志、TELNET重放等安全控制方法、TELNET流量統計、P2P點對點通信——ICQ安全控制，提供允許和禁止等安全控制方法、QQ安全控制，提供允許和禁止等安全控制方法、MSN Messenger安全控制，提供允許和禁止等安全控制方法、本地NETBIOS安全控制，提供允許和禁止開關式安全控制、NetBIOS日志等安全控制方法、本地NETBIOS流量統計。

（五）防常規方式失泄密

在確保任何人都無法利用任何市面可見的數據存儲載體、通過計算機外設、通過計算機外圍接口、通過網絡以不安全的方式帶出受保護的內部電子數據信息之外，系統還針對常規的可造成內部數據信息失泄密的途徑進行了防范和控制。內部安全管理系統提供以下防常規方式失泄密手段和方法：打印機安全控制，提供允許和禁止開關式安全控制、打印日志和影像等安全控制方法、顯示器安全控制，提供允許和禁止開關式安全控制、顯示日志和影像等安全控制方法。

（六）個人計算機運行狀況監控

內部安全管理系統提供對以下個人計算機關鍵系統資源的運行狀況監控以及審計能力：系統摘要信息，提供實時單次刷新和策略連續刷新等監控審計手段、設備信息，提供實時單次刷新和策略連續刷新等監控審計手段、網絡信息，提供實時單次刷新和策略連續刷新等監控審計手段、活動窗口程序信息，提供實時單次刷新和策略連續刷新等監控審計手段、服務和驅動信息，提供實時單次刷新和策略連續刷新等監控審計手段、已安裝應用程序信息，提供實時單次刷新和策略連續刷新等監控審計手段、系統日志信息，提供實時單次刷新和策略連續刷新等監控審計手段、用戶和組信息，提供實時單次刷新和策略連續刷新等監控審計手段、活動進程信息，提供實時單次刷新和策略連續刷新等監控審計手段、屏幕信息，提供實時單次刷新和策略連續刷新等監控審計手段、鍵盤信息，提供實時單次刷新和策略連續刷新等監控審計手段、打印信息，提供實時單次刷新和策略連續刷新等監控審計手段、串并口信息，提供實時單次刷新和策略連續刷新等監控審計手段、計算機運行狀況黑匣子記錄儀。

（七）個人計算機遠程控制

內部安全管理系統提供對以下個人計算機關鍵系統資源的遠程控制能力：活動進程，提供實時殺死指定進程的遠程控制手段、活動網絡連接，提供實時停止指定網絡連接的遠程控制手段、活動窗口程序，提供實時關閉指定窗口程序的遠程控制手段、服務和驅動，提供實時停止系統服務、實時啟動系統服務、實時暫停系統服務、實時繼續系統服務、實時更改服務啟動方式等遠程控制手段、已安裝應用程序，提供實時卸載指定已安裝應用程序的遠程控制手段、系統日志，提供實時清除系統日志的遠程控制手段、用戶和組，提供實時刪除用戶、實時刪除用戶組的遠程控制手段、關機，提供實時關閉計算機的遠程控制手段、鎖定系統，提供實時鎖定計算機系統的遠程控制手段、注銷用戶，提供實時注銷計算機用戶的遠程控制手段、屏幕，提供實時透過屏幕遠程控制計算機的遠程控制手段、打印，提供實時停止指定打印的遠程控制手段。

（八）計算機文件系統安全操作管理

內部安全管理系統對個人計算機最重要的資源之一文件系統提供了完善、細致和徹底的管理、控制以及審計能力。內部安全管理系統對以下文件系統操作進行安全控制：文件系統－創建、打開、讀、寫、刪除、重命名、拷貝。內部安全管理系統對以上文件系統操作均提供禁止和允許等兩種開關式安全控制方法。

（九）文件加解密服務

內部安全管理系統向安全意識高、保護電子數據信息意識強烈的人額外提供了遵循PKI體系結構的文件加解密服務。內部安全管理系統向提供以下文件加解密服務：文件和文件夾加解密、文件保險柜、文件安全共享、文件安全刪除。

（十）安全策略管理

內部安全管理系統完全支持策略生命周期。內部安全管理系統完提供以下策略功能：新建策略，提供向導、模板等多種新建策略的方法、審核策略、評估策略、發布策略、應用策略、策略反饋、策略修改、策略存檔。

（十一）內部安全審計報告

內部安全管理系統提供詳盡細致的內部安全審計報告。安全審計員使用該平臺可以對系統進行全面的審計，獲取豐富信息，以便了解系統的使用狀況。審計對象分為3個層次：系統節點、部門節點、單機節點。審計項目包括了6個子項：告警信息、介質信息、打印信息、文件操作、網絡信息、系統信息。不同的審計項目各自為其提供了豐富的審計條件。審計結果查看方式：報表模式、記錄列表模式。

四、結論

內網安全系統是面向桌面計算機系統的，周全的、便于管理和穩固高效的內部安全體系。內網安全模塊的設計主要是防止存儲載體、外設、外圍接口、網絡、文件加解密服務和審計報告等等。內網安全是外網安全的一種擴展和提升；它是基于更加科學和客觀的信任模型建立起來的。內網安全關注的對象不僅僅包括外部網絡的所有用戶，也包括了更可能引起信息安全威脅的內部網絡用戶，甚至關注到計算機上的設備或進程，內網安全從更加全面和完整的角度對信息安全威脅的對象和途徑進行了分析、處理和控制，使信息安全成為一個完整的整體，而不是一個存在明顯漏洞的片面解決方案。

參考文獻：

1、張煥國,覃中平,王麗娜.信息與通信安全[M].科學出版社,2003.

2、段米毅,孫春來.基于內容監控的網絡監控技術的實現[J].高技術通訊,2001(11).

3、蔣東興,徐時新.主機網絡安全初探[J].小型微型計算機系統,2000(7).

（作者單位：湖北工業大學；渤海銀行北京分行）